De AVG is geen juridische kwestie

13 juli 2017

Vanaf 25 mei volgend jaar is het zo ver: dan wordt de Algemene Verordening Gegevensbescherming van kracht. Deze Europese wet vervangt onze Wet bescherming persoonsgegevens, en introduceert vele nieuwe regels en eisen in de omgang met persoonsgegevens. Logisch dus dat dit op het bordje komt van de juridische afdeling. Maar de AVG is niet alleen maar een juridisch issue waar nieuwe contracten en privacyverklaringen voor moeten worden geschreven. Het vereist een verandering in de bedrijfsvoering.

De AVG bevat fundamentele veranderingen voor bedrijven die werken met persoonsgegevens. Het gaat dan vooral om compliance, en kunnen aantonen dát u compliant bent. De AVG kunt u beter zien als een verplichte ISO certificering dan als een wetswijziging.

De belangrijkste verandering voor de praktijk zal het register zijn. Iedere verwerking moet apart worden gedocumenteerd: wie doet wat, waarom en hoe lang wordt dat bewaard, welke beveiliging hoort daar bij en zo nog een aantal eisen. Dat is niet iets dat een bedrijfsjurist van op afstand kan opstellen, dit moet de betreffende afdeling zelf aanleveren.

Deze informatie moet ook beheerd worden, en een setje Word documenten op een netwerkschijf is dan niet genoeg. Wie is er verantwoordelijk voor dat dit wordt geactualiseerd, hoe weet iedereen in de organisatie dat wijzigingen en nieuwe verwerkingen moeten worden doorgevoerd? Allemaal vragen die alleen een bedrijfsmatige oplossing kennen, geen juridische.

Sommige dingen lijken juridisch. Zo moeten verwerkersovereenkomsten worden getroffen met uw leveranciers, als die persoonsgegevens van u of uw klanten verwerken. Dat is natuurlijk een juridische kwestie – op het eerste gezicht. Want die verwerkersovereenkomst komt in feite neer op het opschrijven van een aantal garanties en procedures om problemen (zoals datalekken) op te kunnen lossen. Die bestaan niet in een vacuüm maar moeten met de business worden afgestemd. Past deze bijvoorbeeld wel bij de Service Level Agreement die is afgesloten?

Auteur: Arnoud Engelfriet

Arnoud Engelfriet is kennispartner bij JuriBlox. Hij is gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Met zijn informatica-achtergrond richt hij zich graag op complexe technisch/juridisch ICT-vraagstukken en softwarelicenties (met name open source). Zijn website Ius mentis is één van de populairste van Nederland over ICT en recht.

Meer nieuws

De cloud: It’s just somebody else’s computer

Hoe veilig zijn uw documenten?

Wordt de juridische markt een kopersmarkt?